ProHoster > Bloc > Administració > Com avaluar i comparar dispositius de xifratge Ethernet

Com avaluar i comparar dispositius de xifratge Ethernet

Vaig escriure aquesta revisió (o, si ho preferiu, una guia de comparació) quan em van encarregar de comparar diversos dispositius de diferents proveïdors. A més, aquests dispositius pertanyien a diferents classes. Vaig haver d'entendre l'arquitectura i les característiques de tots aquests dispositius i crear un "sistema de coordenades" per a la comparació. Estaré encantat si la meva ressenya ajuda a algú:

  • Comprendre les descripcions i especificacions dels dispositius de xifratge
  • Distingeix les característiques del "paper" de les que són realment importants a la vida real
  • Aneu més enllà del conjunt habitual de venedors i tingueu en compte tots els productes que siguin adequats per resoldre el problema
  • Feu les preguntes adequades durant les negociacions
  • Elaboració de requisits de licitació (RFP)
  • Entendre quines característiques caldrà sacrificar si es selecciona un determinat model de dispositiu

Què es pot avaluar

En principi, l'enfocament és aplicable a qualsevol dispositiu autònom adequat per xifrar el trànsit de xarxa entre segments Ethernet remots (xifratge entre llocs). És a dir, "caixes" en un cas separat (d'acord, aquí també inclourem fulles/mòduls per al xassís), que es connecten mitjançant un o més ports Ethernet a una xarxa Ethernet local (de campus) amb trànsit no xifrat i mitjançant un altre port(s) al canal/xarxa a través dels quals el trànsit ja xifrat es transmet a altres segments remots. Aquesta solució de xifratge es pot implementar en una xarxa privada o d'operador mitjançant diferents tipus de "transport" (fibra fosca, equips de divisió de freqüència, Ethernet commutada, així com "pseudowire" instal·lats a través d'una xarxa amb una arquitectura d'encaminament diferent, sovint MPLS). ), amb o sense tecnologia VPN.

Com avaluar i comparar dispositius de xifratge Ethernet
Xifratge de xarxa en una xarxa Ethernet distribuïda

Els propis dispositius poden ser qualsevol especialitzat (destinat exclusivament al xifratge) o multifuncional (híbrid, convergents), és a dir, també realitzar altres funcions (per exemple, un tallafoc o un encaminador). Els diferents venedors classifiquen els seus dispositius en diferents classes/categories, però això no importa; l'únic important és si poden xifrar el trànsit entre llocs i quines característiques tenen.

Per si de cas, us recordo que “xifratge de xarxa”, “xifratge de trànsit”, “encriptador” són termes informals, encara que s'utilitzen sovint. El més probable és que no els trobeu a les regulacions russes (incloses les que introdueixen GOST).

Nivells de xifratge i modes de transmissió

Abans de començar a descriure les pròpies característiques que s'utilitzaran per a l'avaluació, primer haurem d'entendre una cosa important, és a dir, el "nivell de xifratge". Em vaig adonar que sovint s'esmenta tant en documents oficials de proveïdors (en descripcions, manuals, etc.) com en discussions informals (en negociacions, entrenaments). És a dir, sembla que tothom sap molt bé de què estem parlant, però jo personalment he estat testimoni d'una certa confusió.

Aleshores, què és un "nivell de xifratge"? És evident que estem parlant del nombre de la capa de model de xarxa de referència OSI/ISO en què es produeix el xifratge. Llegim GOST R ISO 7498-2–99 “Tecnologia de la informació. Interconnexió de sistemes oberts. Model bàsic de referència. Part 2. Arquitectura de seguretat de la informació.” A partir d'aquest document es pot entendre que el nivell de servei de confidencialitat (un dels mecanismes de prestació que és l'encriptació) és el nivell del protocol, el bloc de dades de servei («càrrega útil», dades d'usuari) del qual està xifrat. Com també està escrit a l'estàndard, el servei es pot oferir tant al mateix nivell, "per si mateix", com amb l'ajuda d'un nivell inferior (és com, per exemple, s'implementa amb més freqüència a MACsec) .

A la pràctica, són possibles dues maneres de transmetre informació xifrada a través d'una xarxa (immediatament ve al cap IPsec, però els mateixos modes també es troben en altres protocols). EN transport (de vegades també anomenat natiu) el mode només està xifrat servei bloc de dades, i les capçaleres romanen "obertes", sense xifrar (de vegades s'afegeixen camps addicionals amb informació de servei de l'algoritme de xifratge i altres camps es modifiquen i es tornen a calcular). EN túnel mateix mode tots protocol el bloc de dades (és a dir, el propi paquet) està xifrat i encapsulat en un bloc de dades de servei del mateix nivell o superior, és a dir, està envoltat de noves capçaleres.

El nivell de xifratge en si en combinació amb algun mode de transmissió no és ni bo ni dolent, per la qual cosa no es pot dir, per exemple, que L3 en mode de transport sigui millor que L2 en mode túnel. És que moltes de les característiques amb les quals s'avaluen els dispositius depenen d'ells. Per exemple, flexibilitat i compatibilitat. Per treballar en una xarxa L1 (relé de flux de bits), L2 (canvi de trama) i L3 (encaminament de paquets) en mode de transport, necessiteu solucions que xifrin al mateix nivell o superior (en cas contrari, la informació de l'adreça es xifrarà i les dades es xifraran). no arriba a la destinació prevista) i el mode túnel supera aquesta limitació (tot i que sacrifica altres característiques importants).

Com avaluar i comparar dispositius de xifratge Ethernet
Modes de xifratge L2 de transport i túnel

Passem ara a l'anàlisi de les característiques.

Productivitat

Per al xifratge de xarxa, el rendiment és un concepte complex i multidimensional. Succeeix que un determinat model, tot i que és superior en una característica de rendiment, és inferior en un altre. Per tant, sempre és útil tenir en compte tots els components del rendiment del xifratge i el seu impacte en el rendiment de la xarxa i de les aplicacions que l'utilitzen. Aquí podem fer una analogia amb un cotxe, per al qual no només és important la velocitat màxima, sinó també el temps d'acceleració a "centenars", el consum de combustible, etc. Les empreses venedores i els seus clients potencials presten molta atenció a les característiques de rendiment. Per regla general, els dispositius de xifratge es classifiquen en funció del rendiment de les línies de proveïdors.

És evident que el rendiment depèn tant de la complexitat de les operacions de xarxa i criptogràfiques que es realitzen al dispositiu (incloent-hi el grau de paral·lelització i canalització d'aquestes tasques), així com del rendiment del maquinari i la qualitat del microprogramari. Per tant, els models més antics utilitzen un maquinari més productiu; de vegades és possible equipar-lo amb processadors i mòduls de memòria addicionals. Hi ha diversos enfocaments per implementar funcions criptogràfiques: en una unitat de processament central (CPU) de propòsit general, un circuit integrat específic d'aplicació (ASIC) o un circuit integrat lògic programable en camp (FPGA). Cada enfocament té els seus pros i contres. Per exemple, la CPU pot convertir-se en un coll d'ampolla de xifratge, especialment si el processador no té instruccions especialitzades per donar suport a l'algorisme de xifratge (o si no s'utilitzen). Els xips especialitzats no tenen flexibilitat; no sempre és possible "reflash" per millorar el rendiment, afegir noves funcions o eliminar vulnerabilitats. A més, el seu ús només es torna rendible amb grans volums de producció. És per això que el "mitjà daurat" s'ha fet tan popular: l'ús de FPGA (FPGA en rus). És a les FPGA on es fabriquen els anomenats acceleradors criptogràfics: mòduls de maquinari especialitzats integrats o endollables per donar suport a les operacions criptogràfiques.

Ja que estem parlant xarxa xifratge, és lògic que el rendiment de les solucions s'ha de mesurar en les mateixes quantitats que per a altres dispositius de xarxa: rendiment, percentatge de pèrdua de trama i latència. Aquests valors es defineixen a RFC 1242. Per cert, no hi ha res escrit sobre la variació de retard (jitter) que s'esmenta sovint en aquest RFC. Com mesurar aquestes quantitats? No he trobat cap metodologia aprovada en cap estàndard (oficial o no oficial com RFC) específicament per a l'encriptació de xarxa. Seria lògic utilitzar la metodologia per a dispositius de xarxa consagrat a l'estàndard RFC 2544. Molts venedors la segueixen, molts, però no tots. Per exemple, envien trànsit de prova només en una direcció en comptes d'ambdues, com ara recomanat estàndard. De totes maneres.

Mesurar el rendiment dels dispositius de xifratge de xarxa encara té les seves pròpies característiques. En primer lloc, és correcte realitzar totes les mesures per a un parell de dispositius: encara que els algorismes de xifratge són simètrics, els retards i les pèrdues de paquets durant el xifrat i el desxifrat no seran necessàriament iguals. En segon lloc, té sentit mesurar el delta, l'impacte del xifratge de la xarxa en el rendiment final de la xarxa, comparant dues configuracions: sense dispositius de xifratge i amb ells. O, com és el cas dels dispositius híbrids, que combinen diverses funcions a més de l'encriptació de xarxa, amb l'encriptació apagada i activada. Aquesta influència pot ser diferent i dependre de l'esquema de connexió dels dispositius de xifratge, dels modes de funcionament i, finalment, de la naturalesa del trànsit. En particular, molts paràmetres de rendiment depenen de la longitud dels paquets, per això, per comparar el rendiment de diferents solucions, sovint s'utilitzen gràfics d'aquests paràmetres en funció de la longitud dels paquets, o s'utilitza IMIX, la distribució del trànsit per paquets. longituds, que aproximadament reflecteixen la real. Si comparem la mateixa configuració bàsica sense xifratge, podem comparar solucions de xifratge de xarxa implementades de manera diferent sense entrar en aquestes diferències: L2 amb L3, store-and-forward ) amb cut-through, especialitzat amb convergent, GOST amb AES, etc.

Com avaluar i comparar dispositius de xifratge Ethernet
Diagrama de connexió per a proves de rendiment

La primera característica a la qual la gent presta atenció és la "velocitat" del dispositiu de xifratge, és a dir ample de banda (amplada de banda) de les seves interfícies de xarxa, velocitat de flux de bits. Està determinat pels estàndards de xarxa que admeten les interfícies. Per a Ethernet, els números habituals són 1 Gbps i 10 Gbps. Però, com sabem, en qualsevol xarxa el màxim teòric rendiment (de rendiment) a cadascun dels seus nivells sempre hi ha menys amplada de banda: part de l'ample de banda és "menjada" pels intervals entre trames, capçaleres de servei, etc. Si un dispositiu és capaç de rebre, processar (en el nostre cas, xifrar o desxifrar) i transmetre trànsit a tota velocitat de la interfície de xarxa, és a dir, amb el màxim rendiment teòric per a aquest nivell del model de xarxa, es diu estar treballant a la velocitat de la línia. Per fer-ho, és necessari que el dispositiu no perdi o descarti paquets de qualsevol mida i amb qualsevol freqüència. Si el dispositiu de xifratge no admet el funcionament a velocitat de línia, el seu rendiment màxim normalment s'especifica en els mateixos gigabits per segon (de vegades indicant la longitud dels paquets: com més curts són els paquets, menor és el rendiment generalment). És molt important entendre que el rendiment màxim és el màxim cap pèrdua (fins i tot si el dispositiu pot "bombejar" el trànsit per si mateix a una velocitat més alta, però al mateix temps perdent alguns paquets). A més, tingueu en compte que alguns venedors mesuren el rendiment total entre tots els parells de ports, de manera que aquests números no signifiquen gaire si tot el trànsit xifrat passa per un sol port.

On és especialment important operar a velocitat de línia (o, en altres paraules, sense pèrdua de paquets)? En enllaços d'amplada de banda alta i d'alta latència (com ara el satèl·lit), on s'ha d'establir una mida de finestra TCP gran per mantenir altes velocitats de transmissió i on la pèrdua de paquets redueix dràsticament el rendiment de la xarxa.

Però no tot l'ample de banda s'utilitza per transferir dades útils. Hem de comptar amb l'anomenat costos sobrevinguts ample de banda (superior). Aquesta és la part del rendiment del dispositiu de xifratge (com a percentatge o bytes per paquet) que realment es malgasta (no es pot utilitzar per transferir dades de l'aplicació). Els costos generals sorgeixen, en primer lloc, a causa d'un augment de la mida (addició, "farciment") del camp de dades en paquets de xarxa xifrats (segons l'algorisme de xifratge i el seu mode de funcionament). En segon lloc, a causa de l'augment de la longitud de les capçaleres de paquets (mode de túnel, inserció del servei del protocol de xifratge, inserció de simulació, etc. en funció del protocol i la manera de funcionament del xifrat i el mode de transmissió) - normalment aquests costos generals són els més significatius, i presten atenció primer. En tercer lloc, a causa de la fragmentació dels paquets quan es supera la mida màxima de la unitat de dades (MTU) (si la xarxa és capaç de dividir en dos un paquet que supera la MTU, duplicant les seves capçaleres). En quart lloc, a causa de l'aparició de trànsit de serveis (control) addicionals a la xarxa entre dispositius de xifratge (per a l'intercanvi de claus, instal·lació de túnels, etc.). La baixa sobrecàrrega és important quan la capacitat del canal és limitada. Això és especialment evident en el trànsit de paquets petits, per exemple, la veu, on els costos generals poden "menjar" més de la meitat de la velocitat del canal!

Com avaluar i comparar dispositius de xifratge Ethernet
Ample de banda

Finalment, hi ha més retard introduït – la diferència (en fraccions de segon) en el retard de la xarxa (el temps que triguen les dades a passar des que entren a la xarxa fins a sortir-ne) entre la transmissió de dades sense i amb xifratge de xarxa. En termes generals, com més baixa sigui la latència ("latencia") de la xarxa, més crítica serà la latència introduïda pels dispositius de xifratge. El retard s'introdueix per l'operació de xifratge en si (depenent de l'algoritme de xifratge, la longitud del bloc i el mode de funcionament del xifrat, així com la qualitat de la seva implementació al programari) i el processament del paquet de xarxa al dispositiu. . La latència introduïda depèn tant del mode de processament de paquets (pass-through o store-and-forward) com del rendiment de la plataforma (la implementació de maquinari en una FPGA o ASIC és generalment més ràpida que la implementació de programari en una CPU). El xifratge L2 gairebé sempre té una latència més baixa que el xifratge L3 o L4, a causa del fet que els dispositius de xifratge L3/L4 sovint convergeixen. Per exemple, amb encriptadors Ethernet d'alta velocitat implementats en FPGA i xifratge a L2, el retard degut a l'operació de xifratge és molt petit; de vegades, quan el xifratge està activat en un parell de dispositius, el retard total introduït fins i tot disminueix! La baixa latència és important quan és comparable als retards generals del canal, inclòs el retard de propagació, que és d'aproximadament 5 μs per quilòmetre. És a dir, podem dir que per a xarxes a escala urbana (de desenes de quilòmetres de diàmetre), els microsegons poden decidir molt. Per exemple, per a la replicació de bases de dades sincròniques, el comerç d'alta freqüència, la mateixa cadena de blocs.

Com avaluar i comparar dispositius de xifratge Ethernet
Retard introduït

Escalabilitat

Les grans xarxes distribuïdes poden incloure molts milers de nodes i dispositius de xarxa, centenars de segments de xarxa local. És important que les solucions de xifratge no imposen restriccions addicionals sobre la mida i la topologia de la xarxa distribuïda. Això s'aplica principalment al nombre màxim d'adreces d'amfitrió i de xarxa. Aquestes limitacions es poden trobar, per exemple, quan s'implementa una topologia de xarxa xifrada multipunt (amb connexions segures independents o túnels) o xifratge selectiu (per exemple, per número de protocol o VLAN). Si en aquest cas s'utilitzen adreces de xarxa (MAC, IP, ID de VLAN) com a claus en una taula en què el nombre de files és limitat, aquestes restriccions apareixen aquí.

A més, les xarxes grans sovint tenen diverses capes estructurals, inclosa la xarxa central, cadascuna de les quals implementa el seu propi esquema d'adreçament i la seva pròpia política d'encaminament. Per implementar aquest enfocament, sovint s'utilitzen formats de trama especials (com ara Q-in-Q o MAC-in-MAC) i protocols de determinació de rutes. Per no impedir la construcció d'aquestes xarxes, els dispositius de xifratge han de gestionar correctament aquests marcs (és a dir, en aquest sentit, l'escalabilitat significarà compatibilitat; més informació a continuació).

Flexibilitat

Aquí estem parlant de donar suport a diverses configuracions, esquemes de connexió, topologies i altres coses. Per exemple, per a xarxes commutades basades en tecnologies Carrier Ethernet, això significa suport per a diferents tipus de connexions virtuals (E-Line, E-LAN, E-Tree), diferents tipus de servei (tant per port com per VLAN) i diferents tecnologies de transport. (ja s'han enumerat més amunt). És a dir, el dispositiu ha de poder funcionar tant en mode lineal ("punt a punt") com multipunt, establir túnels separats per a diferents VLAN i permetre el lliurament de paquets fora d'ordre dins d'un canal segur. La possibilitat de seleccionar diferents modes de xifratge (inclosa amb o sense autenticació de contingut) i diferents modes de transmissió de paquets us permeten aconseguir un equilibri entre la força i el rendiment en funció de les condicions actuals.

També és important donar suport tant a xarxes privades, l'equip de les quals és propietat d'una organització (o llogat a ella), com a xarxes d'operadors, diferents segments de les quals són gestionats per diferents empreses. És bo si la solució permet la gestió tant interna com per part d'un tercer (mitjançant un model de servei gestionat). A les xarxes d'operadors, una altra funció important és el suport per a l'arrendament múltiple (compartició per diferents clients) en forma d'aïllament criptogràfic de clients individuals (subscriptors) el trànsit dels quals passa pel mateix conjunt de dispositius de xifratge. Normalment, això requereix l'ús de conjunts separats de claus i certificats per a cada client.

Si s'adquireix un dispositiu per a un escenari específic, és possible que totes aquestes funcions no siguin molt importants; només cal que us assegureu que el dispositiu admet el que necessiteu ara. Però si s'adquireix una solució "per al creixement", per donar suport també a escenaris futurs, i s'escull com a "estàndard corporatiu", la flexibilitat no serà superflua, sobretot tenint en compte les restriccions a la interoperabilitat dels dispositius de diferents proveïdors ( més sobre això a continuació).

Simplicitat i comoditat

La facilitat de servei també és un concepte multifactorial. Aproximadament, podem dir que aquest és el temps total que dediquen els especialistes d'una determinada titulació necessària per donar suport a una solució en les diferents etapes del seu cicle de vida. Si no hi ha costos, i la instal·lació, configuració i funcionament són completament automàtics, aleshores els costos són zero i la comoditat és absoluta. Per descomptat, això no passa en el món real. Una aproximació raonable és un model "nus a un filferro" (bump-in-the-wire) o connexió transparent, en què afegir i desactivar dispositius de xifratge no requereix cap canvi manual o automàtic a la configuració de la xarxa. Al mateix temps, es simplifica el manteniment de la solució: podeu activar i desactivar la funció de xifratge de manera segura i, si cal, simplement "obviar" el dispositiu amb un cable de xarxa (és a dir, connectar directament els ports de l'equip de xarxa als quals estava connectat). És cert que hi ha un inconvenient: un atacant pot fer el mateix. Per implementar el principi del "node en un cable", cal tenir en compte no només el trànsit capa de dadesSinó capes de control i gestió – Els dispositius han de ser transparents per a ells. Per tant, aquest trànsit només es pot xifrar quan no hi ha destinataris d'aquest tipus de trànsit a la xarxa entre els dispositius de xifratge, ja que si es descarta o es xifra, aleshores, quan activeu o desactiveu l'encriptació, la configuració de la xarxa pot canviar. El dispositiu de xifratge també pot ser transparent a la senyalització de la capa física. En particular, quan es perd un senyal, ha de transmetre aquesta pèrdua (és a dir, apagar els seus transmissors) cap endavant i cap enrere (“per si mateix”) en la direcció del senyal.

També és important el suport en la divisió d'autoritat entre els departaments de seguretat de la informació i informàtica, en particular el departament de xarxes. La solució de xifratge ha de donar suport al model d'auditoria i control d'accés de l'organització. S'ha de minimitzar la necessitat d'interacció entre diferents departaments per dur a terme les operacions rutinàries. Per tant, hi ha un avantatge en termes de comoditat per als dispositius especialitzats que admeten exclusivament funcions d'encriptació i són el més transparents possible a les operacions de xarxa. En poques paraules, els empleats de seguretat de la informació no haurien de tenir cap motiu per contactar amb "especialistes en xarxa" per canviar la configuració de la xarxa. I aquests, al seu torn, no haurien de tenir la necessitat de canviar la configuració de xifratge en mantenir la xarxa.

Un altre factor són les capacitats i la comoditat dels controls. Haurien de ser visuals, lògics, proporcionar importació-exportació de la configuració, automatització, etc. Hauríeu de prestar atenció immediatament a quines opcions de gestió estan disponibles (normalment el seu propi entorn de gestió, interfície web i línia d'ordres) i quin conjunt de funcions té cadascuna d'elles (hi ha limitacions). Una funció important és el suport fora de banda control (fora de banda), és a dir, mitjançant una xarxa de control dedicada, i a la banda control (in-band), és a dir, mitjançant una xarxa comuna a través de la qual es transmet el trànsit útil. Les eines de gestió han de senyalitzar totes les situacions anormals, inclosos els incidents de seguretat de la informació. Les operacions rutinàries i repetitives s'han de realitzar automàticament. Això es relaciona principalment amb la gestió de claus. S'han de generar/distribuir automàticament. El suport PKI és un gran avantatge.

Compatibilitat

És a dir, la compatibilitat del dispositiu amb els estàndards de xarxa. A més, això significa no només estàndards industrials adoptats per organitzacions autoritzades com IEEE, sinó també protocols propietaris de líders del sector, com Cisco. Hi ha dues maneres principals de garantir la compatibilitat: o bé transparència, o a través suport explícit protocols (quan un dispositiu de xifratge es converteix en un dels nodes de xarxa per a un determinat protocol i processa el trànsit de control d'aquest protocol). La compatibilitat amb les xarxes depèn de la integritat i correcció de la implementació dels protocols de control. És important suportar diferents opcions per al nivell PHY (velocitat, mitjà de transmissió, esquema de codificació), trames Ethernet de diferents formats amb qualsevol MTU, diferents protocols de servei L3 (principalment la família TCP/IP).

La transparència s'assegura mitjançant els mecanismes de mutació (canviar temporalment el contingut de les capçaleres obertes en el trànsit entre encriptadors), salts (quan els paquets individuals romanen sense xifrar) i sagnat de l'inici del xifratge (quan els camps dels paquets normalment xifrats no estan xifrats).

Com avaluar i comparar dispositius de xifratge Ethernet
Com es garanteix la transparència

Per tant, comproveu sempre exactament com es proporciona suport per a un protocol concret. Sovint, el suport en mode transparent és més còmode i fiable.

Interoperabilitat

Això també és compatibilitat, però en un sentit diferent, és a dir, la capacitat de treballar juntament amb altres models de dispositius de xifratge, inclosos els d'altres fabricants. Molt depèn de l'estat d'estandardització dels protocols de xifratge. Simplement no hi ha estàndards de xifratge generalment acceptats a L1.

Hi ha un estàndard 2ae (MACsec) per al xifratge L802.1 a les xarxes Ethernet, però no utilitza transversal (extrem a extrem), i interport, xifratge “hop-by-hop”, i en la seva versió original no és apte per al seu ús en xarxes distribuïdes, per la qual cosa han aparegut les seves extensions propietàries que superen aquesta limitació (per descomptat, per la interoperabilitat amb equips d'altres fabricants). És cert que el 2018 es va afegir suport per a xarxes distribuïdes a l'estàndard 802.1ae, però encara no hi ha suport per als conjunts d'algoritmes de xifratge GOST. Per tant, els protocols de xifratge L2 propietaris i no estàndards, per regla general, es distingeixen per una major eficiència (en particular, una sobrecàrrega d'amplada de banda més baixa) i flexibilitat (la capacitat de canviar els algorismes i els modes de xifratge).

A nivells superiors (L3 i L4) hi ha estàndards reconeguts, principalment IPsec i TLS, però aquí tampoc no és tan senzill. El cas és que cadascun d'aquests estàndards és un conjunt de protocols, cadascun amb diferents versions i extensions necessàries o opcionals per a la seva implementació. A més, alguns fabricants prefereixen utilitzar els seus protocols de xifratge propietaris a L3/L4. Per tant, en la majoria dels casos no s'ha de comptar amb una interoperabilitat completa, però és important que almenys estigui garantida la interacció entre diferents models i diferents generacions del mateix fabricant.

Fiabilitat

Per comparar diferents solucions, podeu utilitzar el temps mitjà entre errors o el factor de disponibilitat. Si aquests números no estan disponibles (o no hi ha confiança), es pot fer una comparació qualitativa. Els dispositius amb una gestió còmoda tindran avantatge (menys risc d'errors de configuració), xifradors especialitzats (per la mateixa raó), així com solucions amb un temps mínim per detectar i eliminar una fallada, incloent mitjans de còpia de seguretat "en calent" de nodes sencers i dispositius.

Cost

Pel que fa al cost, com passa amb la majoria de solucions de TI, té sentit comparar el cost total de propietat. Per calcular-lo, no cal reinventar la roda, sinó utilitzar qualsevol metodologia adequada (per exemple, de Gartner) i qualsevol calculadora (per exemple, la que ja s'utilitza a l'organització per calcular el TCO). És evident que per a una solució de xifratge de xarxa, el cost total de propietat consisteix en directe els costos d'adquisició o lloguer de la pròpia solució, la infraestructura d'allotjament d'equips i els costos de desplegament, administració i manteniment (ja siguin interns o en forma de serveis de tercers), així com indirectes costos del temps d'inactivitat de la solució (causat per la pèrdua de productivitat de l'usuari final). Probablement només hi ha una subtilesa. L'impacte en el rendiment de la solució es pot considerar de diferents maneres: ja sigui com a costos indirectes causats per la pèrdua de productivitat, o com a costos directes "virtuals" d'adquisició/actualització i manteniment d'eines de xarxa que compensen la pèrdua de rendiment de la xarxa a causa de l'ús de xifratge. En qualsevol cas, les despeses difícils de calcular amb prou precisió són millor deixar fora del càlcul: així hi haurà més confiança en el valor final. I, com és habitual, en qualsevol cas, té sentit comparar diferents dispositius per TCO per a un escenari concret del seu ús, real o típic.

Persistència

I l'última característica és la persistència de la solució. En la majoria dels casos, la durabilitat només es pot avaluar qualitativament comparant diferents solucions. Hem de recordar que els dispositius de xifratge no només són un mitjà, sinó també un objecte de protecció. Poden estar exposats a diverses amenaces. A l'avantguarda hi ha les amenaces de vulneració de la confidencialitat, reproducció i modificació dels missatges. Aquestes amenaces es poden realitzar mitjançant vulnerabilitats del xifratge o dels seus modes individuals, mitjançant vulnerabilitats en protocols de xifratge (incloent-hi les etapes d'establiment d'una connexió i generació/distribució de claus). L'avantatge serà per a solucions que permetin canviar l'algoritme de xifratge o canviar el mode de xifratge (almenys mitjançant una actualització de microprogramari), solucions que proporcionen el xifrat més complet, amagant de l'atacant no només les dades de l'usuari, sinó també l'adreça i la informació del servei. , així com solucions tècniques que no només xifren, sinó que també protegeixen els missatges de la reproducció i modificació. Per a tots els algorismes de xifratge moderns, signatures electròniques, generació de claus, etc., que estan consagrats als estàndards, es pot suposar que la força és la mateixa (en cas contrari, simplement us podeu perdre en la natura de la criptografia). Haurien de ser necessàriament algorismes GOST? Aquí tot és senzill: si l'escenari d'aplicació requereix la certificació FSB per a CIPF (i a Rússia això és el cas més sovint; per a la majoria d'escenaris de xifratge de xarxa això és cert), només escollim entre els certificats. Si no és així, no té sentit excloure de la consideració els dispositius sense certificats.

Una altra amenaça és l'amenaça de pirateria, accés no autoritzat als dispositius (inclòs mitjançant l'accés físic fora i dins de la caixa). L'amenaça es pot dur a terme
vulnerabilitats en la implementació: en maquinari i codi. Per tant, tindran solucions amb una “superfície d'atac” mínima a través de la xarxa, amb tancaments protegits de l'accés físic (amb sensors d'intrusió, protecció de sondeig i restabliment automàtic de la informació clau en obrir el recinte), així com aquelles que permetin actualitzar el firmware. un avantatge en el cas que es conegui una vulnerabilitat en el codi. Hi ha una altra manera: si tots els dispositius que es comparen tenen certificats FSB, la classe CIPF per a la qual es va emetre el certificat es pot considerar un indicador de resistència a la pirateria.

Finalment, un altre tipus d'amenaça són els errors durant la configuració i el funcionament, el factor humà en estat pur. Això mostra un altre avantatge dels encriptadors especialitzats respecte a les solucions convergents, que sovint estan dirigides a "especialistes en xarxes" experimentats i poden causar dificultats als especialistes en seguretat de la informació general "normals".

En resum

En principi, aquí seria possible proposar algun tipus d'indicador integral per comparar diferents dispositius, alguna cosa així

$$visualització$$K_j=∑p_i r_{ij}$$visualització$$

on p és el pes de l'indicador i r és el rang del dispositiu segons aquest indicador, i qualsevol de les característiques enumerades anteriorment es pot dividir en indicadors "atòmics". Aquesta fórmula podria ser útil, per exemple, a l'hora de comparar propostes de licitació d'acord amb unes normes preacordades. Però us podeu sortir amb una taula senzilla com

Caracterització
Dispositiu 1
Dispositiu 2
...
Dispositiu N

Ample de banda
+
+

+ + +

Despeses generals
+
++

+ + +

Retard
+
+

++

Escalabilitat
+ + +
+

+ + +

Flexibilitat
+ + +
++

+

Interoperabilitat
++
+

+

Compatibilitat
++
++

+ + +

Simplicitat i comoditat
+
+

++

falta de tolerància
+ + +
+ + +

++

Cost
++
+ + +

+

Persistència
++
++

+ + +

Estaré encantat de respondre preguntes i crítiques constructives.

Font: www.habr.com

Afegeix comentari